作者:张美超 曾凡平 黄奕漏洞库fuzzingfqp服务器漏洞挖掘
摘要:鉴于主流fuzzing(模糊)测试技术生成的测试用例随机性和针对性无法兼顾的问题,提出一种基于漏洞库的fuzzing测试技术.根据漏洞产生的原因和重现的方法对漏洞库进行整理分类,构造出测试用例集用于fuzzing测试.这样生成的测试用例集直接与漏洞相关,具有更强的针对性;同时扩展的测试用例集可以用于检测未知的同类漏洞,覆盖面更广,因此保证了一定的随机性.以ftp服务器测试为例,选取了Windows平台下的4款ftp服务器进行测试,共发现了3款软件的6个新漏洞,提交SecurityFocus并通过,其中5个漏洞得到了国际权威漏洞数据库CVE的认可.
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社